E2k7: Brauche Hilfe bei der Konfiguration von Server-ACtiveSync ...

20/05/2009 - 18:16 von Nicolas Nickisch | Report spam
Hi NG,
nachdem wir auf dem alten System die Server-ActiveSync nach langem
Herumprobieren zum Laufen gebracht haben geht das Problem jetzt von vorne
los.

Das System war ein W2003 auf dem eine Stammzertifizierungsstelle (oder
besser Zertifizierungs-Stammzelle ?) lief und auf dem gleichen Rechner E2k3.
Mittlerweile ist alles anders.
Der DC ist ein anderer, làuft mit W2008 und auf einem weiteren Rechner làuft
jetzt E2k7.

Trotz langem Herumprobieren, -zig neubenatragten Zertifikaten und wildem
Kopieren und Installieren auf den WM5-PDAs ghet es nicht - Immer wieder
Fehlercode 0x80072f0D und der Hinweis, dass das Sicherrheitszertifikat auf
dem Server ungültig sei.

Da ich jetzt schon seit Tagen Herumkonfiguriere jetzt mal die verzweiflete
Frage ob jemand eine grundsàtzlichen Lösungshinweis hat.

Der DC:
GALILEO64.xxx.yyy, beherbergt die Domàne xxx.yyy und die
Stammzertifizierungsstelle.
Diese tràgt auto,matisch den Namen xxx-GALILEO64-CA
Unter den ausgetsellten Zertifikaten sind fast 30 Stück, teilweise mehrfahc
für den Account Administrator, für den DC GALILEO64$ und andere Rechner,
nicht aber für den Exchange-Rechner (Ist das richtig so ?)
Ausserdem ein Reihe von Fehlgeschlagenen Anforderungen

Müsste nicht jeder Rechner der Domàne per AutoEnrollment ein Zertifikat
beantragen ?


Der Exchange:
Name EXCHANGE.xxx.yyy, làuft mit W2008 und E2k7

Unter den Zertifikaten des lokalen Computers finde ich mittlerweile knapp 10
Stück

Einige sind ausgestellt für EXCHANGE und ausgestellt von EXCHANGE - ohne
Zertifikatvorlgae und allen diesen Zertifikaten ist gemeinsam, dass beim
Doppelklick der Hinweis kommt, dieses Zert. sei nicht vetrauenswürdig.
Dann kommt eines ausgestellt für exchange von exchange (ja, klein
geschrieben, sonst idem)
Dieses wiederum wird als vetrauenswürdig gemeldet.

Danach kommt noch 2x ein Zertifkat (anscheinend gültig), diesmal jeweils von
und für EXCHANGE.xxx.yyy

Dann nochmal ein Zertifikat ausgestellt für externer.Name.zzz von der
Stammzertifizierungsstelle mit der Zertifikatvorlage 'WebServer'

Wie muss ich vorgehen ?

Gruss Nico
 

Lesen sie die antworten

#1 Frank Carius
20/05/2009 - 22:23 | Warnen spam
"Nicolas Nickisch" schrieb im Newsbeitrag news:4a142cd5$0$30238$

Trotz langem Herumprobieren, -zig neubenatragten Zertifikaten und wildem
Kopieren und Installieren auf den WM5-PDAs ghet es nicht - Immer wieder
Fehlercode 0x80072f0D und der Hinweis, dass das Sicherrheitszertifikat auf
dem Server ungültig sei.



gehe doch mal mit dem Pocket Explorer oder einem normalen Browser auf die URL

also https://server.firma.tld/microsoft-...activesync

und schau was er da meldet.
da so ein Zugang eh per Kennwort gesichert ist und potentielle Angreifer per Portscan euren Webserver eh schon "gefunden" und geprobt haben kannst du uns auch einfach die URL sagen. dann gibts ein richtiges Feedback

Unter den ausgetsellten Zertifikaten sind fast 30 Stück, teilweise mehrfahc
für den Account Administrator, für den DC GALILEO64$ und andere Rechner,
nicht aber für den Exchange-Rechner (Ist das richtig so ?)



JA. die PCs und User holen sich meist selbst zertifikate für EFS etc.
aber ein Webserver nicht

Ausserdem ein Reihe von Fehlgeschlagenen Anforderungen
Müsste nicht jeder Rechner der Domàne per AutoEnrollment ein Zertifikat
beantragen ?



Muss nicht, aber kann. ist aber für ActiveSync erst mal nicht wichtig.

Der Exchange:
Name EXCHANGE.xxx.yyy, làuft mit W2008 und E2k7
Unter den Zertifikaten des lokalen Computers finde ich mittlerweile knapp 10
Stück



Hast wohl öfters versucht :-)


Einige sind ausgestellt für EXCHANGE und ausgestellt von EXCHANGE - ohne
Zertifikatvorlgae und allen diesen Zertifikaten ist gemeinsam, dass beim
Doppelklick der Hinweis kommt, dieses Zert. sei nicht vetrauenswürdig.



Das sind vermutlich alles "Selbtzertifikate". du kannst ja mal schaue, wer der aussteller ist.


Dann kommt eines ausgestellt für exchange von exchange (ja, klein
geschrieben, sonst idem)
Dieses wiederum wird als vetrauenswürdig gemeldet.



Es wird nicht einfacher, wenn du nur die Anzahl aufzàhjlst und nicht die relevanten daten wie
- Ausstelle
- name
- Gültigkeit



Dann nochmal ein Zertifikat ausgestellt für externer.Name.zzz von der
Stammzertifizierungsstelle mit der Zertifikatvorlage 'WebServer'
Wie muss ich vorgehen ?



Vielleicht funktioniert schon eines der zertifikate. viellleicht auch nicht.
Drei DINGE:
1. der name imZertiifkat muss mit dem namen der Webseite im DNS (externe adresse) übereinstimmen
2. die Gültigkeit (Zeitraum/datum) muss passen
3. der Ausstelle muss auf den PDAs vertrauendwürdig sein

1 nud 2 geht einfach und kannst du selbst beeinflussne
3. ist knifflig: entweder "kaufst" du ein Zertifikat von einer CA die auf den Mobilgeràten schon installiertist
oder du machst eben dein eigenes Zertifikat aber musst auf jedem PDA die CA als "trusted" addieren.

Vielleixht solltest du dich erst mal schlau machen, wiedas mit dem Zertiifkaten funktioniert.

http://www.msxfaq.net/verschiedenes...dlagen.htm etc.



Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Wenn es die Zeit erlaubt, dann rufe ich auch an. Nummer/Mailadresse ?
:-) --

Ähnliche fragen